Nginx 添加 Content-Security-Policy

2016-08-13 21:29:04 +08:00
 qcloud
之前在 /t/297580 这个帖子问过,如果网站并没有开启 https , css 和 js 都是 https ,那么问题来了,会不会被劫持插一些恶心的东西?然后 @ZE3kr 这位朋友说可以使用 Content-Security-Policy ,我今天发现我的站,在 Mac 表示没有被插入东西,然后在 Windows 下发现被插入了一条<script async src="http://c.cnzz.com/core.php"></script>(两个平台使用的浏览器都是 Chrome ),我在 Nginx server 段添加了 Content-Security-Policy ,我也不知道对不对,麻烦懂的朋友给看下吧。

打码部分是域名。
6576 次点击
所在节点    问与答
10 条回复
qcloud
2016-08-13 21:31:59 +08:00
pubby
2016-08-13 21:59:20 +08:00
既然能修改你页面数据,那么删掉你的 Content-Security-Policy 头也不是难事
qcloud
2016-08-13 22:19:25 +08:00
@pubby 😂那咋办
pubby
2016-08-13 22:30:52 +08:00
开 https 啊
virusdefender
2016-08-13 22:33:04 +08:00
再加一个 report-uri ,可以统计劫持情况。

2 楼说的情况,感觉出现几率不大,除非专门针对你。
qcloud
2016-08-13 23:00:59 +08:00
@pubby CDN 系统没有 http2 。。。
qcloud
2016-08-13 23:01:34 +08:00
@virusdefender 目前这个写的对吗?我没测试出效果,我想明天看看
pubby
2016-08-13 23:06:46 +08:00
虽然删你这个 header 几率不大,但是没有 https 始终治标不治本

可能对方插入的 js 就是用你允许的域名,比如 src=http://you.allowed.com/xxx.js

然后再劫持 http://you.allowed.com/xxx.js
或者干脆不用外部资源,直接把所有东西塞入页面代码里面
wdlth
2016-08-14 17:46:45 +08:00
有的运营商会直接改 jQuery 等.js 文件,黑得很……
hackgyj
2019-07-16 22:24:06 +08:00

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/299121

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX